이전

다음

ID용 Microsoft Defender 센서 구성

완료됨

높은 수준에서 Microsoft Defender for Identity를 사용하려면 다음 단계를 수행해야 합니다.

1. Microsoft Defender for Identity 관리 포털에서 인스턴스 만들기
2. Microsoft Defender for Identity 포털에서 온-프레미스 AD 서비스 계정을 지정합니다.
3. 센서 패키지를 다운로드하여 설치합니다.
4. 모든 도메인 컨트롤러에 Microsoft Defender for Identity 센서를 설치합니다.
5. VPN 솔루션(선택 사항) 통합합니다.
6. 디자인 프로세스 중에 나열된 중요한 계정을 제외합니다.
7. 센서가 SAM-R을 호출하는 데 필요한 권한을 구성합니다.
8. Microsoft Defender for Cloud Apps와의 통합을 구성합니다.
9. Microsoft Defender XDR(선택 사항)과의 통합을 구성합니다.

다음 다이어그램은 Microsoft Defender for Identity 아키텍처를 보여줍니다. 이 장치에서 Microsoft Defender for Identity 센서를 구성하는 방법에 대해 논의합니다.

도메인 컨트롤러에 직접 설치된 Microsoft Defender for Identity 센서는 도메인 컨트롤러에서 직접 필요로 하는 이벤트 로그에 액세스합니다. 센서에서 로그 및 네트워크 트래픽을 구문 분석한 이후 Microsoft Defender for Identity는 Microsoft Defender for Identity 클라우드 서비스로 구문 분석된 정보만 보냅니다. (일정 비율의 로그만 전송)

Microsoft Defender for Identity 센서에는 다음과 같은 핵심 기능이 있습니다.

• 도메인 컨트롤러 네트워크 트래픽(도메인 컨트롤러의 로컬 트래픽) 캡처 및 검사
• 도메인 컨트롤러에서 Windows 이벤트 직접 수신
• VPN 공급자에서 RADIUS 계정 정보 수신
• Active Directory 도메인에서 사용자 및 컴퓨터에 대한 데이터 검색
• 네트워크 엔터티(사용자, 그룹 및 컴퓨터)의 해결 수행
• Microsoft Defender for Identity 클라우드 서비스로 관련 데이터 전송

Microsoft Defender for Identity 센서에는 다음과 같은 요구 사항이 있습니다.

• KB4487044는 Server 2019에 설치되어 있습니다. 이 업데이트 없이 2019 서버에 이미 설치된 Microsoft Defender for Identity 센서는 자동으로 중지됩니다.
• Microsoft Defender for Identity 센서 지원 도메인 컨트롤러 OS 목록:
  • Windows Server 2008 R2 SP1(Server Core 포함 안 함)
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016(Windows Server Core 포함, Windows Nano Server 포함 안 함)
  • Windows Server 2019(Windows Server Core 포함, Windows Nano Server 포함 안 함)
• 도메인 컨트롤러는 RODC(읽기 전용 도메인 컨트롤러)일 수 있습니다.
• 10GB의 디스크 공간을 권장합니다. 여기에는 Microsoft Defender for Identity용 바이너리, Microsoft Defender for Identity 로그 및 성능 로그에 필요한 공간이 포함됩니다.
• Microsoft Defender for Identity 센서에는 최소 2개의 코어와 6GB의 RAM이 도메인 컨트롤러에 설치되어 있어야 합니다.
• 고성능에 대한 Microsoft Defender for Identity 센서의 전원 옵션
• Microsoft Defender for Identity 센서는 도메인 컨트롤러와의 네트워크 트래픽 및 설치된 리소스의 크기에 따라 다양한 부하와 규모의 도메인 컨트롤러에 배포될 수 있습니다.
• 가상 컴퓨터로 실행하는 경우 동적 메모리나 다른 기타 메모리의 풍선 알림 기능은 지원되지 않습니다.

Microsoft Defender for Identity 센서를 설치하려면:

1. 센서 파일을 다운로드하고 압축을 풉니다. Microsoft Defender for Identity 센서 setup.exe를 실행하고 설정 마법사를 따릅니다.
2. 시작 페이지에서 언어를 선택하고 다음을 클릭합니다.

3. 설치 마법사는 서버가 도메인 컨트롤러인지 전용 서버인지를 자동으로 확인합니다. 도메인 컨트롤러인 경우 Microsoft Defender for Identity 센서가 설치됩니다. 전용 서버인 경우 Microsoft Defender for Identity 독립 실행형 센서가 설치됩니다. 예를 들어 Microsoft Defender for Identity 센서의 경우 다음의 화면이 표시되어 Microsoft Defender for Identity 센서가 전용 서버에 설치되어 있음을 알 수 있습니다.

   

4. 센서 구성에서 사용자의 환경에 따라 설치 경로와 액세스 키를 입력합니다.

   • 설치 경로: Microsoft Defender for Identity 센서가 설치된 위치입니다. 기본적으로 경로 %programfiles%\Microsoft Defender for Identity sensor입니다. 기본값을 그대로 둡니다.
   • 액세스 키: Microsoft Defender for Identity 포털에서 검색됩니다.

   

5. 설치를 클릭합니다.

Microsoft Defender for Identity 센서를 설치한 후 다음을 수행하여 Microsoft Defender for Identity를 구성합니다.

1. 시작을 클릭하여 브라우저를 열고 Microsoft Defender for Identity 포털에 로그인합니다.

2. Microsoft Defender for Identity 포털에서 구성으로 이동합니다. 시스템 섹션에서 센서를 선택합니다.

   

3. 구성하려는 센서를 클릭하고 다음 정보를 입력합니다.

   • 설명: Microsoft Defender for Identity 센서(선택 사항)에 대한 설명을 입력합니다.

   • 도메인 컨트롤러(FQDN)(Microsoft Defender for Identity 독립 실행형 센서에 필요, Microsoft Defender for Identity 센서에 대해 변경할 수 없음): 도메인 컨트롤러의 전체 FQDN을 입력하고 더하기 기호를 클릭하여 목록에 추가합니다. 예: dc01.contoso.com

     다음 정보는 도메인 컨트롤러 목록에 입력하는 서버에 적용됩니다.

     • Microsoft Defender for Identity 독립 실행형 센서의 포트 미러링을 통해 트래픽을 모니터링하는 모든 도메인 컨트롤러는 도메인 컨트롤러 목록에 나열되어 있어야 합니다. 도메인 컨트롤러 목록에 도메인 컨트롤러가 나열되어 있지 않은 경우 의심스러운 활동 검색이 정상적으로 작동하지 않을 수 있습니다.
     • 목록의 하나 이상의 도메인 컨트롤러가 글로벌 카탈로그여야 합니다. 따라서 Microsoft Defender for Identity는 포리스트의 다른 도메인에 있는 컴퓨터 및 사용자 개체를 확인할 수 있습니다.

   • 네트워크 어댑터 캡처(필수):

     • Microsoft Defender for Identity 센서의 경우 조직의 다른 컴퓨터와 통신하는 데 사용되는 모든 네트워크 어댑터입니다.
     • 전용 서버의 Microsoft Defender for Identity 독립 실행형 센서의 경우 대상 미러 포트로 구성된 네트워크 어댑터를 선택합니다. 이러한 네트워크 어댑터는 미러링된 도메인 컨트롤러 트래픽을 수신합니다.

   

4. 저장을 클릭합니다.

계속